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Kleine Anfrage 

der Abgeordneten Sylvia Kotting-Uhi, Dr. Konstantin von Notz, Harald Ebner, 
Hans-Josef Fell, Bettina Herlitzius, Bärbel Höhn, Oliver Krischer, Stephan Kühn, 
Undine Kurth (Quedlinburg), Ingrid Nestle, Dorothea Steiner, Daniela Wagner, 

Dr. Valerie Wilms und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Sicherheitsrelevanz hochentwickelter Schad-Software wie Stuxnet für deutsche 
Atomkraftwerke und industrielle Prozesssteuerung 


Nachdem im Herbst letzten Jahres bekannt wurde, dass eine hochentwickelte 
Schad-Software (sog. Malware) namens Stuxnet irreparable Schäden an Kom- 
ponenten iranischer Atomanlagen verursacht hatte, kam auch hierzulande 
schnell die Frage auf, inwiefern deutsche Atomkraftwerke (AKW) durch Stux- 
net oder andere vergleichbar hochentwickelte Malware bedroht sein könnten. 
Medienberichte der letzten Monate deuten kontinuierlich darauf hin, dass ein 
von Malware wie Stuxnet ausgehendes Risiko für deutsche AKW vorhanden 
ist, dass über den Einzelfall hinaus vor allem spezialisierte Programme zur in- 
dustriellen Prozesssteuerung betrifft (vgl. beispielsweise „Der digitale Erst- 
schlag ist erfolgt“ in Frankfurter Allgemeine Zeitung vom 22. September 2010, 
„Landkarte des Schreckens“ in DER SPIEGEL 12/2011 vom 21. März 2011, 
„Deutsche Energieversorger anfällig für Computerwurm Stuxnet“ in DER 
SPIEGEL 16/2011 vom 18. April 2011 und „Siemens bestätigt Schwachstellen 
in Industrie-Software“, SPIEGEL ONLINE vom 19. Mai 2011). 

Die Stellungnahmen deutscher Atomaufsichtsbehörden beschränken sich im 
Wesentlichen darauf, dass bisher noch kein Befall deutscher AKW festgestellt 
wurde. Zur Anfälligkeit der Anlagen und zur Wirksamkeit möglicher Gegen- 
maßnahmen gibt es bislang noch keine belastbaren Aussagen. Fest steht ledig- 
lich, dass Stuxnet als Teil des Schädigungsmechanismus Steuerungsanlagen der 
Firma Siemens AG befällt, die auch in deutschen Atomkraftwerken eingesetzt 
werden. 

Das Programm nutzte nach heutigem Kenntnisstand vier bis dato nicht identifi- 
zierte Sicherheitslücken (Zero-Day-Exploits) des Betriebssystems Windows 
und manipulierte vor allem Anlagen des deutschen Herstellers Siemens AG, 
wobei u. a. die Steuersoftware WinCC (Windows Control Center ) und das Pro- 
zessleitsystem SIMATIC PCS 7 beeinträchtigt werden. WinCC dient der Visua- 
lisierung von in Raffinerien, Kraftwerken und Fabriken ablaufenden Prozessen 
und wird meist in deren Leitstand eingesetzt. PCS 7 steuert und überwacht 
automatisierte Betriebsabläufe. Die Schad-Software wurde als Trojaner so auf 
den befallenen Anlagen platziert, dass sie möglichst lange unentdeckt bleiben 
sollte. 

Um die sicherheitstechnische Bedeutung von Malware wie Stuxnet bewerten 
zu können, müssten die Landesatomaufsichtsbehörden und das Bundesministe- 
rium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) zumindest wis- 
sen, welche potenziell befallbaren Siemens-Steuerungsanlagen in welchen Be- 
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reichen welcher deutscher Atomkraftwerke und anderer kritischer Infrastruktu- 
ren betrieben werden. Dies war ein halbes Jahr, nachdem die Frage von der 
Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbFI in Form einer 
Weiterleitungsnachricht am 30. September 2010 aufgegriffen wurde, aber nicht 
der Fall, wie aus einem Brief vom Bundesminister für Umwelt, Naturschutz 
und Reaktorsicherheit, Dr. Norbert Röttgen, an die Bundestagsabgeordnete 
Sylvia Kotting-Uhl vom 3 1 . März 2011 hervorgeht. Demnach scheint bislang 
auch nicht klar, wie ein Befall von Malware wie Stuxnet der in den AKW ein- 
gesetzten Rechnern über Intranetverbindungen, Internetverbindungen, USB- 
Anschlüsse, DVD- und CD-Laufwerke etc. wirksam unterbunden werden kann. 

Ebenfalls wurde bislang noch nicht durch spezifische Untersuchungen bestä- 
tigt, dass ein Stuxnet-Befall und andere mögliche Malware-Infektionen tatsäch- 
lich keine Auswirkungen auf das Reaktorschutzkonzept haben kann. Die GRS 
mbH stellt diese These in ihrer Weiterleitungsnachricht bereits auf, räumt 
zugleich aber ein, den tatsächlichen Umfang der Sicherheitsbedeutung von 
Stuxnet noch nicht abschätzen zu können. 

Dabei stellt sich insbesondere die Frage, ob Malware wie Stuxnet den Reaktor- 
betrieb unbemerkt aus den definierten Zuständen herausführen kann, die 
Grundlage der Störfallbeherrschung sind. Anders ausgedrückt stellt sich die 
Frage, ob Malware wie Stuxnet den Zustand oder das Verhalten einzelner 
Kraftwerkskomponenten verändern kann und zugleich diejenigen Informatio- 
nen über den Zustand und das Verhalten der befallenen Komponenten, die an 
Anzeigen und Kontrollsysteme übermittelt werden, verfälschen kann. Wäre 
dies der Fall, könnte nicht ausgeschlossen werden, dass die automatische Stör- 
fallbeherrschung und die Handlungen des Personals zur Störfallbeherrschung 
völlig andere Wirkungen hervorrufen als erwartet und gewünscht. 

Es ist nach Angaben von IT-Sicherheitsexperten davon auszugehen, dass es 
sich bei dem nun entdeckten Schadprogramm mit hoher Wahrscheinlichkeit 
nicht um das erste Programm dieser Art handelt, Stuxnet vielmehr aufgrund 
eines anzunehmenden Programmierfehlers eher zufällig entdeckt worden sei 
und davon ausgegangen werden muss, dass sich in Zukunft ähnliche Angriffe 
auf Industrieanlagen wiederholen. So wird der deutsche IT-Sicherheitsexperte 
Prof. Dr. Thorsten Holz mit den Worten zitiert: „Ich halte diesen Angriff nicht 
für den ersten dieser Art und bei allem Aufwand auch nicht für einmalig. Ich 
gehe davon aus [...], dass solche Angriffe häufiger Vorkommen, dass die er- 
folgreichen aber nicht öffentlich bekannt werden.“ (SPIEGEL ONLINE vom 
22. September 2010) 

Wir fragen die Bundesregierung: 

1. Warum war innerhalb eines halben Jahres nicht zu klären, welche Steue- 
rungsanlagen in welchen AKW in welchen Bereichen eingesetzt werden 
(vgl. erste Empfehlung der GRS-Weiterleitungsnachricht vom 30. Septem- 
ber 2010 und Brief von Bundesminister für Umwelt, Naturschutz und Reak- 
torsicherheit, Dr. Norbert Röttgen, an die Bundestagsabgeordnete Sylvia 
Kotting-Uhl vom 31. März 2011)? 

2. Ist mittlerweile klar, in welchen AKW in welchen Bereichen die Siemens- 
Software und Steuerungsanlagen, auf die Stuxnet abzielt, eingesetzt werden 
(ggf. bitte für die AKW, zu denen die Informationen mittlerweile vorliegen, 
anlagenscharfe tabellarische Übersicht mit Anzahl, Typ, Anlagenbereich, 
Einsatzzweck etc.)? 

Falls nein, weshalb nicht, bis wann soll dies endgültig für alle AKW geklärt 
sein? 
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3. Falls bislang immer noch kein umfassender Überblick darüber vorliegt, in 
welchen AKW in welchen Bereichen die Siemens-Software, auf die Stuxnet 
abzielt, eingesetzt wird, welche teilweisen Informationen liegen der GRS 
mbH bereits zu welchen AKW dazu vor (vgl. Seite 4 in der Weiterleitungs- 
nachricht der GRS mbH)? 

4. Wie schließt die Bundesregierung, für den Fall, dass auch deutsche AKW 
und weitere Industrieanlagen befallen sind, aus, dass es hierdurch zu 
schwerwiegenden Fehlern in den betrieblichen Abläufen kommt? 

5. Wie bewertet die Bundesregierung, insbesondere hinsichtlich der Atomauf- 
sicht, die Selbstauskunft der Siemens AG vom 11. März 2011, dass insge- 
samt weltweit 24 Kunden aus dem industriellen Umfeld von einer Stuxnet- 
Infektion berichtet haben und es in keinem Fall während einer Infektion zu 
Auswirkungen auf die Prozesssteuerung kam? 

Liegen der Bundesregierung hier differierende Einschätzungen vor, und 
wenn dies der Fall ist, wie lauten diese? 

6. Ist der Bundesregierung, insbesondere dem BMU und Bundesamt für 
Sicherheit in der Informationstechnik (BSI), bekannt, welche anderen Län- 
der mit AKW Analysen veranlasst haben, die mit der Weiterleitungsnach- 
richt der GRS mbH vergleichbar sind? 

Falls ja, welche Staaten haben wann welche Untersuchungen veranlasst, 
und welche (Zwischen-)Ergebnisse liegen bereits vor? 

7. Inwiefern ist die Sicherheitsrelevanz von Malware wie Stuxnet bereits Ge- 
genstand der internationalen Zusammenarbeit des BMU zur Reaktorsicher- 
heit? 

Inwiefern war sie es insbesondere auf der Fünften Überprüfungskonferenz 
zum Übereinkommen über nukleare Sicherheit im April 2011 in Wien? 

8. Ist es korrekt, dass die Nachweise zur Störfallbeherrschung davon ausge- 
hen, dass sich die Anlage in einem bestimmten, definierten Ausgangszu- 
stand befindet? 

9. Kann praktisch ausgeschlossen werden, dass Malware wie Stuxnet Anlage- 
komponenten so schädigt, dass der tatsächliche Zustand bzw. das tatsäch- 
liche Verhalten bestimmter Komponenten nicht dem angezeigten bzw. 
übermittelten Zustand/Verhalten entspricht, und dies dann insbesondere 
mit bislang nicht berücksichtigten Implikationen für die Störfallbeherr- 
schung verbunden ist? 

Falls ja, weshalb und auf welche wissenschaftliche Grundlage (Untersu- 
chungen, Stellungnahmen, Gutachten etc.) stützt sich die Bundesregierung 
dabei? 

10. Kann praktisch ausgeschlossen werden, dass Malware wie Stuxnet ein 
AKW unbemerkt aus den betrieblichen Begrenzungen herausführt, und 
dies dann insbesondere mit bislang nicht berücksichtigten Implikationen 
für die Störfallbeherrschung verbunden ist? 

Falls ja, weshalb und auf welche spezifische wissenschaftliche Grundlage 
(Untersuchungen, Stellungnahmen, Gutachten etc.) stützt sich die Bundes- 
regierung dabei? 

11. Welche BSI-Leitlinien, -Standards und Hilfedokumente sollen anlässlich 
des Aufkommens von Stuxnet bis wann überarbeitet werden? 

Sind dabei neue BSI-Leitlinien und -Standards geplant oder bereits erlas- 
sen, die speziell auf AKW zugeschnitten sind? 


Drucksache 17/6619 


-4- 


Deutscher Bundestag - 17. Wahlperiode 


12. Auf welche Art und Weise wird die Bundesregierung die Empfehlung des 
BSI, industrielle Prozesssteuerungsanlagen vom Internet getrennt zu halten 
(Die Lage der IT-Sicherheit in Deutschland 2011, S. 29), bei AKW dauer- 
haft umsetzen? 

13. Inwiefern ist Malware wie Stuxnet Gegenstand der Beratungen im sog. 
Cyberabwehrzentrum und dem sog. Cybersicherheitsrat, und wenn ja, wie 
werden die dort ausgetauschten Kenntnisse an Atomaufsichtsbehörden 
kommuniziert? 

14. Welche Auswirkungen haben die durch Stuxnet gewonnenen Erkenntnisse 
auf die Pläne der Bundesregierung zum verbesserten Schutz kritischer In- 
frastrukturen, und welche zum Beispiel im „Dritten Gefahrenbericht“ der 
Schutzkommission beim Bundesministerium des Inneren angemahnt und 
teilweise in der „Nationalen Strategie zum Schutz Kritischer Infrastruktu- 
ren“ (KRITiS-Strategie) und im „Nationalen Plan zum Schutz der Informa- 
tionsinfrastrukturen“ (NPSI) umgesetzt wurden? 

15. Ist die Bundesregierung, auch vor dem Hintergrund, dass es im NPSI heißt, 
dass es „um den Schutz der Informationsinfrastrukturen in Deutschland 
nachhaltig zu gewährleisten“ erforderlich sei, den Nationalen Plan und des- 
sen Umsetzung regelmäßig anzupassen und ihn gegebenenfalls an die aktu- 
ellen Erfordernisse anzupassen, der Ansicht, dass der NPSI angesichts der 
anhand des Stuxnet-Befalls gewonnenen Erkenntnisse grundlegend über- 
arbeitet werden muss? 

Wenn ja, welche Anpassungen werden hier vorgenommen? 

Wenn nein, warum soll keine Anpassung erfolgen? 

16. Welche neuen IT-basierten Kontrollmechanismen sind speziell für deutsche 
AKW im Einsatz oder geplant, um einen Stuxnet-Befall feststellen zu kön- 
nen und andere gezielte Angriffe abzuwehren? 

17. Gibt es grundsätzlich einheitliche Richtlinien für die IT-Sicherheit in 
AKW? 

Falls ja, seit wann, wann wurden sie zuletzt geändert und durch wen wird 

a) ihre Einhaltung und 

b) ihre Effektivität 
kontrolliert und 

c) jeweils wie regelmäßig? 

Welche Informationen hierzu liegen dem BMU und den Landesatomauf- 
sichtsbehörden hierzu vor? 

18. Falls es einheitliche verbindliche Richtlinien für die IT-Sicherheit in AKW 
gibt, wann gab es in welchen Anlagen welche Verstöße dagegen? 

Wie wurden sie geahndet? 

19. Ist seitens der Atomaufsichtsbehörden geplant, anlässlich hochentwickelter 
Malware wie Stuxnet verbindliche neue IT-Sicherheitsvorschriften zu er- 
lassen? 

Muss dafür aus Sicht der Bundesregierung gewartet werden, bis die Aus- 
wertung der aktuell laufenden Weiterleitungsnachricht der GRS mbH er- 
folgt ist (bitte begründen)? 

20. Ist die Weiterleitungsnachricht der GRS mbH aus Sicht des BMU und des 
BSI geeignet und ausreichend, um praktisch auszuschließen, dass in AKW 
eingesetzte Rechner von Malware wie Stuxnet befallen werden (ggf. bitte 
mit ausführlicher Begründung)? 
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Falls nein, welche Konsequenzen 

a) hat die Bundesregierung daraus bereits gezogen, und 

b) will sie daraus bis wann noch ziehen? 

21. Welchen Zeitplan gibt es seitens des BMU für den weiteren Umgang mit 
den Risiken für den AKW-Betrieb und die Reaktorsicherheit, die sich aus 
Malware wie Stuxnet ergeben (bitte auch mit Beschreibung etwaiger Zwi- 
schenschritte und inwiefern das BMU dabei mit BS1, GRS mbH, den 
Landesatomaufsichtsbehörden, Cyberabwehrzentrum, Cybersicherheitsrat 
und anderen kooperieren will)? 

22. Können das BMU und/oder die GRS mbH bestätigen, dass die Weiterlei- 
tungsnachricht zu Stuxnet nur empfiehlt, im Fall einer Stuxnet-lnfizierung 
einer Steuerungsanlage sofort eine Analyse durchzuführen, um festzustel- 
len, welche Auswirkungen eine Fehlfunktion haben könnte, die durch den 
Befall ausgelöst werden könnte? 

23. Warum wurde nicht empfohlen, grundsätzlich bei allen im Zusammenhang 
mit Stuxnet-relevanten AKW-Steuerungsanlagen zu analysieren, welche 
Auswirkungen eine Fehlfunktion haben könnte, die durch einen Stuxnet- 
Befall ausgelöst werden kann? 

24. Ist dies noch beabsichtigt? 

Falls ja, bis wann? 

Falls nein, warum nicht? 


Berlin, den 15. Juli 2011 

Renate Künast, Jürgen Trittin und Fraktion 
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